Новый подход: периодическая смена пароля ослабляет защиту
detaly.co.ilНациональный институт стандартов и технологий США (NIST), который устанавливает стандарты в сфере технологий для госструктур и частных компаний, выступил с предложением пересмотреть ряд устаревших и неэффективных правил, касающихся паролей. К ним относятся обязательная периодическая смена пароля, требования к его составу и использование контрольных вопросов. Ряд экспертов уже давно отмечают негативное влияние на безопасность множества общепринятых требований к паролям, однако банки, онлайн-сервисы и госагентства продолжают их использовать.
Выбор и хранение надежных паролей — одна из самых сложных задач в кибербезопасности. При этом многие правила, которые формально должны повышать уровень безопасности, на деле его снижают. Недавно NIST опубликовал обновленный проект стандарта SP 800-63-4 — документ, содержащий рекомендации по верификации цифровых идентичностей.
В новой версии стандарта особое внимание уделено здравому смыслу в отношении паролей. Одно из важных предложений — отказ от практики регулярного принудительного изменения паролей. Эта практика берет начало в те времена, когда пароли часто были простыми и легко угадывались. Сейчас же при условии использования длинных и случайно
